《信息安全標(biāo)準(zhǔn)》PPT課件(138頁P(yáng)PT)

1、信息安全標(biāo)準(zhǔn)介紹中國信息安全測(cè)評(píng)中心第1頁，共138頁。主要內(nèi)容標(biāo)準(zhǔn)化基礎(chǔ)知識(shí)信息安全基礎(chǔ)標(biāo)準(zhǔn)信息安全評(píng)估標(biāo)準(zhǔn)發(fā)展史通用評(píng)估準(zhǔn)則（CC）PP和ST產(chǎn)生指南電子政務(wù)信息系統(tǒng)安全標(biāo)準(zhǔn)CNITSEC 劉作康2第2頁，共138頁。1.標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)商一致，由主管部門批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)。強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)；其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。我國標(biāo)準(zhǔn)分四級(jí)：國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。CNITSEC 劉作康3第3頁，共138

2、頁。標(biāo)準(zhǔn)化基礎(chǔ)國家標(biāo)準(zhǔn)：對(duì)需要在全國范圍內(nèi)統(tǒng)一的技術(shù)要求(含標(biāo)準(zhǔn)樣品的制作）。GB/T XXXX.X-200X ：屬于推薦性標(biāo)準(zhǔn) GB XXXX-200X：屬于強(qiáng)制性標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)：沒有國家標(biāo)準(zhǔn)，需要在全國某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求。如GA ,SJ地方標(biāo)準(zhǔn)：沒有國家標(biāo)準(zhǔn) 、行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的工業(yè)產(chǎn)品的安全、衛(wèi)生要求。 DBXX/T XXX-200X DBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：對(duì)企業(yè)范圍內(nèi)需要統(tǒng)一的技術(shù)要求、管理要求和工作要求。QXXX-XXX-200XCNITSEC 劉作康4第4頁，共138頁。標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛

3、在的問題制定共同的和重復(fù)使用的規(guī)則的活動(dòng)實(shí)質(zhì)：通過制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，達(dá)到統(tǒng)一。目的：獲得最佳秩序和社會(huì)效益。CNITSEC 劉作康5第5頁，共138頁。標(biāo)準(zhǔn)化基礎(chǔ)標(biāo)準(zhǔn)化三維空間國際級(jí)區(qū)域級(jí)國家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員服務(wù)系統(tǒng)產(chǎn)品過程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語XYZX軸：代表標(biāo)準(zhǔn)化對(duì)象，Y軸：代表標(biāo)準(zhǔn)化的內(nèi)容，Z軸：代表標(biāo)準(zhǔn)化的級(jí)別。CNITSEC 劉作康6第6頁，共138頁。標(biāo)準(zhǔn)化基礎(chǔ)我國通行“標(biāo)準(zhǔn)化八字原理”：“統(tǒng)一”原理“簡(jiǎn)化”原理“協(xié)調(diào)”原理“最優(yōu)”化原理CNITSEC 劉作康7第7頁，共138頁。我國標(biāo)準(zhǔn)工作歸口單位2001年10月11日成立國家標(biāo)準(zhǔn)化委員會(huì)信息技術(shù)標(biāo)準(zhǔn)委員會(huì)數(shù)

4、據(jù)加密技術(shù)標(biāo)準(zhǔn)委員會(huì)2002年4月15日成立信息安全技術(shù)標(biāo)準(zhǔn)委員會(huì),TC260CNITSEC 劉作康8第8頁，共138頁。標(biāo)準(zhǔn)化基礎(chǔ)采標(biāo)：等同采用idt（identical）：指技術(shù)內(nèi)容相同，沒有或僅有編輯性修改，編寫方法完全相對(duì)應(yīng)；修改采用MOD（modified）：與國際標(biāo)準(zhǔn)之間存在技術(shù)性差異，有編輯性修改，可能不采用部分條款非等效采用NEQ（not equivalent）：指技術(shù)內(nèi)容有重大差異，只表示與國際標(biāo)準(zhǔn)有關(guān)。CNITSEC 劉作康9第9頁，共138頁。IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)發(fā)展趨勢(shì)(1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)展。(2)信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。(3)信息技術(shù)標(biāo)準(zhǔn)化

5、的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。(4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。CNITSEC 劉作康10第10頁，共138頁。信息安全標(biāo)準(zhǔn)化組織ISO（國際標(biāo)準(zhǔn)化組織）JTC1 SC27，信息技術(shù)-安全技術(shù)ISO/TC 68 銀行和有關(guān)的金融服務(wù)SC2，安全管理和通用銀行運(yùn)作；SC4，安全及相關(guān)金融工具；SC6，零售金融服務(wù)。JTC1其他分技術(shù)委員會(huì)：SC6系統(tǒng)間通信與信息交換，主要開發(fā)開放系統(tǒng)互連下四層安全模型和安全

6、協(xié)議，如ISO 9160、ISO/IEC 11557。SC17識(shí)別卡和有關(guān)設(shè)備，主要開發(fā)與識(shí)別卡有關(guān)的安全標(biāo)準(zhǔn)ISO 7816SC18文件處理及有關(guān)通信，主要開發(fā)電子郵件、消息處理系統(tǒng)等。SC21開放系統(tǒng)互連，數(shù)據(jù)管理和開放式分布處理，主要開發(fā)開放系統(tǒng)互連安全體系結(jié)構(gòu)，各種安全框架，高層安全模型等標(biāo)準(zhǔn)，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。SC22程序語言，其環(huán)境及系統(tǒng)軟件接口，也開發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。SC30開放式電子數(shù)據(jù)交換，主要開發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如ISO 9735-9 、 ISO 9735-10。CNITSEC 劉作康11第11頁，共138頁。信

7、息安全標(biāo)準(zhǔn)化組織（續(xù)） IEC（國際電工委員會(huì)）主要負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作TC56 可靠性；TC74 IT設(shè)備安全和功效；TC77 電磁兼容；CISPR 無線電干擾特別委員會(huì) ITU（國際電信聯(lián)盟）負(fù)責(zé)協(xié)調(diào)世界各國之間的電信事務(wù)前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)安全框架安全模型等標(biāo)準(zhǔn)CNITSEC 劉作康12第12頁，共138頁。信息安全標(biāo)準(zhǔn)化組織（續(xù)）IETF（因特網(wǎng)工程任務(wù)組）主要提INTERNET標(biāo)準(zhǔn)草案和RFC(征求意見稿）170多個(gè)RFC、12個(gè)工作組PGP開發(fā)規(guī)范(openpgp)；鑒別防火墻遍歷(aft)；通用鑒別技術(shù)(cat)

8、 ；域名服務(wù)系統(tǒng)安全(dnssec)；IP安全協(xié)議(ipsec)；一次性口令鑒別(otp)；X.509公鑰基礎(chǔ)設(shè)施(pkix)；S/MIME郵件安全(smime)；安全Shell (secsh)；簡(jiǎn)單公鑰基礎(chǔ)設(shè)施(spki)；傳輸層安全(tls)Web處理安全 (wts)CNITSEC 劉作康13第13頁，共138頁。信息安全標(biāo)準(zhǔn)化組織（續(xù)）美國ANSI（美國國家標(biāo)準(zhǔn)化協(xié)會(huì)）NCITS-T4 制定IT安全技術(shù)標(biāo)準(zhǔn)X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12 制定商業(yè)交易標(biāo)準(zhǔn)NIST（國家標(biāo)準(zhǔn)技術(shù)研究所）負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPS-197DOD（美國國防部）負(fù)責(zé)涉密信息NSA國防部指令（DODDI）（如T

9、CSEC）CNITSEC 劉作康14第14頁，共138頁。信息安全標(biāo)準(zhǔn)化組織（續(xù)）IEEE（美國電氣和電子工程師協(xié)會(huì)）SILS（LAN/WAN）安全P1363公鑰密碼標(biāo)準(zhǔn)ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì))TC32“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。CNITSEC 劉作康15第15頁，共138頁。信息安全標(biāo)準(zhǔn)化組織（續(xù)）英國BS 7799醫(yī)療衛(wèi)生信息系統(tǒng)安全加拿大計(jì)算機(jī)安全管理日本JIS 國家標(biāo)準(zhǔn)JISC 工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)CNITSEC 劉作康16第16頁，共138頁。信息安全標(biāo)準(zhǔn)化組織（續(xù)

10、）我國TC260,信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)共38個(gè)標(biāo)準(zhǔn)4個(gè)產(chǎn)品標(biāo)準(zhǔn)其他工業(yè)標(biāo)準(zhǔn)SSLSETCDSAPGPPCTCNITSEC 劉作康17第17頁，共138頁。我國信息安全標(biāo)準(zhǔn)體系框架基礎(chǔ)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)應(yīng)用與工程標(biāo)準(zhǔn)系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)物理安全標(biāo)準(zhǔn)CNITSEC 劉作康18第18頁，共138頁。2.信息安全基礎(chǔ)標(biāo)準(zhǔn)詞匯安全體系結(jié)構(gòu)安全框架安全模型GB/T 5271.8-2000信息技術(shù) 詞匯 第8部分：安全GB/T 9387.2-1995開放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu) (idt ISO 7498-2)ISO/IEC 10181-17 開放系統(tǒng)的安全框架GB/T 17965高層安全模型

11、GB/T 18231低層安全模型ISO/IEC 15443-1 IT安全保障框架IATF信息保障技術(shù)框架ISO/IEC 11586-16通用高層安全網(wǎng)絡(luò)層安全GJB 2256-1994軍用計(jì)算機(jī)安全術(shù)語RFC 2401因特網(wǎng)安全體系結(jié)構(gòu)ISO/IEC7498-4 管理框架傳輸層安全CNITSEC 劉作康19第19頁，共138頁?；贠SI七層協(xié)議的安全體系結(jié)構(gòu)OSI 參考模型7 應(yīng)用層6 表示層5 會(huì)話層4 傳輸層3 網(wǎng)絡(luò)層2 鏈路層1 物理層安全機(jī)制公 證路由選擇控制通信業(yè)務(wù)填充鑒別交換數(shù)據(jù)完整性訪問控制數(shù)字簽名加 密安全服務(wù)鑒別服務(wù) 訪問控制數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗抵賴CNITSEC 劉作康

12、20第20頁，共138頁。五種安全服務(wù)鑒別：提供對(duì)通信中的對(duì)等實(shí)體和數(shù)據(jù)來源的鑒別。訪問控制：提供保護(hù)以對(duì)抗開放系統(tǒng)互連可訪問資源的非授權(quán)使用?？蓱?yīng)用于對(duì)資源的各種不同類型的訪問（例如，使用通信資源，讀、寫或刪除信息資源，處理資源的操作），或應(yīng)用于對(duì)某種資源的所有訪問數(shù)據(jù)機(jī)密性：對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露數(shù)據(jù)完整性：對(duì)付主動(dòng)威脅。在一次連接上，連接開始時(shí)使用對(duì)某實(shí)體鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證，為這些數(shù)據(jù)單元的完整性提供確證。抗抵賴：可取有數(shù)據(jù)原發(fā)證明的抗抵賴、有交付證明的抗抵賴兩種形式，或兩者之一。CNITSEC

13、 劉作康21第21頁，共138頁。與網(wǎng)絡(luò)各層相關(guān)的OSI安全服務(wù)安全服務(wù)1234567對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問控制服務(wù)連接機(jī)密性無連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無恢復(fù)功能的連接完整性選擇字段連接完整性無連接完整性選擇字段非連接完整性源發(fā)方抗抵賴接收方抗抵賴YYYYYYYYYYYYYYYYYYYYYYY YYYYYYYYYYYYYYCNITSEC 劉作康22第22頁，共138頁。八種安全機(jī)制加密：加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性。數(shù)字簽名：確定兩個(gè)過程：對(duì)數(shù)據(jù)單元簽名和驗(yàn)證簽過名的數(shù)據(jù)單元。訪問控制：為了決定和實(shí)施一個(gè)實(shí)體的訪問權(quán)，訪問控制機(jī)制

14、可以使用該實(shí)體已鑒別的身份，或使用有關(guān)該實(shí)體的信息（例如它與一個(gè)已知的實(shí)體集的從屬關(guān)系），或使用該實(shí)體的權(quán)力。數(shù)據(jù)完整性：包括單個(gè)數(shù)據(jù)單元或字段的完整性以及數(shù)據(jù)單元流或字段流的完整性。CNITSEC 劉作康23第23頁，共138頁。安全機(jī)制鑒別交換機(jī)制：可以提供對(duì)等實(shí)體鑒別。如果在鑒別實(shí)體時(shí)，這一機(jī)制得到否定的結(jié)果，就會(huì)導(dǎo)致連接的拒絕或終止，也可能使在安全審計(jì)跟蹤中增加一個(gè)記錄，或給安全管理中心一個(gè)報(bào)告。通信業(yè)務(wù)填充機(jī)制：能用來提供各種不同級(jí)別的保護(hù)，對(duì)抗通信業(yè)務(wù)分析。路由選擇控制機(jī)制：路由能動(dòng)態(tài)地或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。在檢測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可希望

15、指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接。公證機(jī)制：有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機(jī)制而得到確保。CNITSEC 劉作康24第24頁，共138頁。OSI安全服務(wù)和安全機(jī)制之間的關(guān)系安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整鑒別交換業(yè)務(wù)填塞路由控制公證對(duì)等實(shí)體鑒別數(shù)據(jù)源鑒別訪問控制服務(wù)連接機(jī)密性無連接機(jī)密性選擇字段機(jī)密性流量機(jī)密性有恢復(fù)功能的連接完整性無恢復(fù)功能的連接完整性選擇字段連接完整性無連接完整性選擇字段非連接完整性源發(fā)方抗抵賴接收方抗抵賴YYYYYYYYYYYYYYYY Y Y YYYYYY Y Y Y YYY Y Y CNITSEC

16、劉作康25第25頁，共138頁。TCP/IP協(xié)議四層概念模型：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層IP層是TCP/IP模型的網(wǎng)絡(luò)層（不考慮網(wǎng)絡(luò)接口），提供數(shù)據(jù)在源和目的主機(jī)之間通過子網(wǎng)的路由功能應(yīng)用層傳輸層網(wǎng)絡(luò)層CNITSEC 劉作康26第26頁，共138頁。OSI參考模型與TCP/IP的對(duì)應(yīng)關(guān)系OSI參考模型TCP/IP協(xié)議集模型應(yīng)用層表示層應(yīng)用層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層互聯(lián)網(wǎng)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)接口層CNITSEC 劉作康27第27頁，共138頁。3.信息安全評(píng)測(cè)標(biāo)準(zhǔn)發(fā)展1999年 GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則1991年歐洲信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）國際通

17、用準(zhǔn)則1996年（CC1.0）1998年（CC2.0）1985年美國可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）1993年 加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）1993年美國聯(lián)邦準(zhǔn)則（FC 1.0）1999年 國際標(biāo)準(zhǔn)ISO/IEC 154081989年 英國可信級(jí)別標(biāo)準(zhǔn)（MEMO 3 DTI）德國評(píng)估標(biāo)準(zhǔn)（ZSEIC）法國評(píng)估標(biāo)準(zhǔn)（B-W-R BOOK）2001年 國家標(biāo)準(zhǔn)GB/T 18336 信息技術(shù)安全性評(píng)估準(zhǔn)則1993年美國NIST的MSFRCNITSEC 劉作康28第28頁，共138頁。美國TCSEC1970年由美國國防科學(xué)委員會(huì)提出。1985年公布。主要為軍用標(biāo)準(zhǔn)。延用至民用。安全

18、級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小級(jí)。彩虹系列桔皮書：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則黃皮書：桔皮書的應(yīng)用指南紅皮書：可信網(wǎng)絡(luò)解釋紫皮書：可信數(shù)據(jù)庫解釋CNITSEC 劉作康29第29頁，共138頁。美國TCSECD: 最小保護(hù)Minimal ProtectionC1: 自主安全保護(hù)Discretionary Security ProtectionC2: 訪問控制保護(hù)Controlled Access ProtectionB1: 安全標(biāo)簽保護(hù)Labeled Security ProtectionB2: 結(jié)構(gòu)化保護(hù)Structured ProtectionB3: 安全域保護(hù)Security D

19、omainA1: 驗(yàn)證設(shè)計(jì)保護(hù)Verified Design低保證系統(tǒng)高保證系統(tǒng)CNITSEC 劉作康30第30頁，共138頁。主要依據(jù)之間的關(guān)系可信設(shè)備指南安全特性用戶手冊(cè)測(cè)試文檔.設(shè)計(jì)文檔.11個(gè)安全策略：自主訪問控制強(qiáng)制訪問控制安全標(biāo)簽（8個(gè)）客體重用安全策略3個(gè)特性：標(biāo)識(shí)和鑒別審計(jì)可信路徑可控性9個(gè)安全保證特性：系統(tǒng)體系 隱蔽信道分析系統(tǒng)完整性 可信設(shè)備管理系統(tǒng)測(cè)試 可信恢復(fù)設(shè)計(jì)說明驗(yàn)證 配置管理保證確保支持文檔操作者/管理員用戶開發(fā)者/維護(hù)者安全策略：確定選擇哪些控制措施，可控性：提出安全機(jī)制以確定系統(tǒng)人員并跟蹤其行動(dòng)。保證能力：給安全政策及可控性的實(shí)現(xiàn)提供保證。文檔：存在哪些文檔。

20、CNITSEC 劉作康31第31頁，共138頁。級(jí)別特征強(qiáng)度D相當(dāng)于無安全功能的個(gè)人微機(jī)幾乎沒有保護(hù)C1非形式化定義安全策略模型，使用了基本的DAC控制；為用戶提供身份鑒別；支持同組合作的敏感資源共享；可以包括穿透性測(cè)試。避免偶爾發(fā)生的操作錯(cuò)誤與數(shù)據(jù)破壞；可以簡(jiǎn)單理解為操作系統(tǒng)邏輯級(jí)安全措施C2非形式化定義安全策略模型，使用了更加完善的DAC和客體的安全重用策略；比C1級(jí)增強(qiáng)的身份鑒別：唯一標(biāo)識(shí)、身份標(biāo)識(shí)與審計(jì)行為關(guān)聯(lián)性；安全審計(jì)方面，可信計(jì)算基能夠創(chuàng)建、維護(hù)對(duì)其所保護(hù)客體的訪問審計(jì)記錄，實(shí)施資源隔離。對(duì)一般性攻擊具有一定抵抗能力；可以簡(jiǎn)單理解為操作系統(tǒng)邏輯級(jí)安全措施。B1保留了C2級(jí)的所有安

21、全策略；非形式化定義安全策略模型；使用了基于Bell LaPadula模型的強(qiáng)制訪問控制MAC；采用了6個(gè)安全標(biāo)識(shí)， 具有準(zhǔn)確地標(biāo)記輸出信息的能力；分析和測(cè)試設(shè)計(jì)文檔、源代碼、客體代碼。消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤；對(duì)一般性攻擊具有較高的抵抗能力，但對(duì)滲透攻擊的抵抗能力較低。CNITSEC 劉作康32第32頁，共138頁。級(jí)別特征強(qiáng)度B2形式化定義安全策略模型，TCB結(jié)構(gòu)化；訪問控制（DAC和MAC）擴(kuò)展到所有主體和客體；引入了隱蔽信道分析；通過提供可信路徑來增強(qiáng)鑒別機(jī)制；增強(qiáng)了配置管理控制；分開系統(tǒng)管理員和操作員的職能，提供可信設(shè)備管理有一定的抵抗高威脅的滲透入侵能力B3完好的形式化安全策略定

22、義，具有“訪問監(jiān)控器”（reference monitor）；TCB結(jié)構(gòu)化，繼承了B2級(jí)的安全特性；支持更強(qiáng)化的安全管理；擴(kuò)展審計(jì)范圍和功能機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)應(yīng)急恢復(fù)機(jī)制。有較高的抵抗高威脅的滲透入侵能力A1功能上與B3級(jí)相同；要求形式化分析、設(shè)計(jì)、驗(yàn)證；CNITSEC 劉作康33第33頁，共138頁。TCSEC的缺陷集中考慮數(shù)據(jù)機(jī)密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴(yán)格，不便于實(shí)際開發(fā)和測(cè)評(píng)按照TCSEC建設(shè)的系統(tǒng)失敗的例子：英國1987年建CHOTS網(wǎng)絡(luò)系統(tǒng)，B2級(jí)，1997年報(bào)廢、關(guān)閉美國國防部花費(fèi)25年、幾

23、十億的安全系統(tǒng)，多數(shù)已經(jīng)過時(shí)報(bào)廢CNITSEC 劉作康34第34頁，共138頁。歐洲多國安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。功能準(zhǔn)則在測(cè)定上分10級(jí)。15級(jí)對(duì)應(yīng)于TCSEC的C1到B3。610級(jí)加上了以下概念：F-IN：數(shù)據(jù)和程序的完整性 F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性 F-DC：數(shù)據(jù)通信保密性F-DX 包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則分為6級(jí)： E1：測(cè)試 E2：配置控制和可控的分配 E3：能訪問詳細(xì)設(shè)計(jì)和源碼 E4：詳細(xì)的脆弱性分析 E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng) E6：設(shè)計(jì)與源碼在形式上一致。歐洲ITSECC

24、NITSEC 劉作康35第35頁，共138頁。歐洲ITSEC與TCSEC的不同安全被定義為機(jī)密性、完整性、可用性功能和質(zhì)量/保證分開對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置CNITSEC 劉作康36第36頁，共138頁。功能評(píng)估1預(yù)先定義的功能級(jí)I T S E C 保 證T C S E C分 級(jí)E 0DF -C1E 1C 1F C2E 2C 2F B1E 3B 1F B2E 4B 2F B3E 5B 3F B3E 6A 1CNITSEC 劉作康37第37頁，共138頁。功能評(píng)估2按功能分

25、類評(píng)估其聲稱的安全功能八個(gè)安全功能類標(biāo)識(shí)和鑒別訪問控制可控性客體重用審計(jì)準(zhǔn)確性服務(wù)的有效性數(shù)據(jù)交換CNITSEC 劉作康38第38頁，共138頁。保證評(píng)估實(shí)現(xiàn)的正確性安全功能和機(jī)制的有效性：1.考慮所有使用的安全功能的適用性，2.考慮安全機(jī)制的強(qiáng)度，評(píng)估其抵擋直接攻擊的能力3.如果有可利用的安全脆弱性，則保證為E0E0 E1 E2 E3 E4 E5 E6不可信 高度可信CNITSEC 劉作康39第39頁，共138頁。1989年公布，專為政府需求而設(shè)計(jì)與ITSEC類似，將安全分為功能性需求和保證性需要兩部分。功能性要求分為四個(gè)大類：a 機(jī)密性 b 完整性 c 可用性 d 可控性在每種安全需求下又

26、分成很多小類，表示安全性上的差別，分級(jí)條數(shù)為05級(jí)。加拿大CTCPECCNITSEC 劉作康40第40頁，共138頁。 美國聯(lián)邦準(zhǔn)則(FC) 對(duì)TCSEC的升級(jí)，1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個(gè)輪廓都包括功能部分、開發(fā)保證部分和評(píng)測(cè)部分。分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。供美國政府用、民用和商用。CNITSEC 劉作康41第41頁，共138頁。GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則第一級(jí) 用戶自主保護(hù)級(jí) 第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 第三級(jí) 安全標(biāo)記保護(hù)級(jí) 第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí) 第五級(jí) 訪問驗(yàn)證保護(hù)級(jí) CNITSEC

27、劉作康42第42頁，共138頁。4.評(píng)估通用準(zhǔn)則（CC ）國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評(píng)估過程分“功能”和“保證”兩部分；是目前最全面的評(píng)價(jià)準(zhǔn)則CNITSEC 劉作康43第43頁，共138頁。 通用準(zhǔn)則（CC）（續(xù)）國際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)一組規(guī)則集一種評(píng)估方法，其評(píng)估結(jié)果國際互認(rèn)通用測(cè)試方法（CEM）已有安全準(zhǔn)則的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架

28、構(gòu)可以定義自己的要求擴(kuò)展CC要求準(zhǔn)則今后發(fā)展的框架CNITSEC 劉作康44第44頁，共138頁。評(píng)估上下文CNITSEC 劉作康45第45頁，共138頁。CC的結(jié)構(gòu)以及目標(biāo)讀者 內(nèi)容 用戶 開發(fā)者 評(píng)估者 第1部分 簡(jiǎn)介和一般模型，定義了IT安全評(píng)估的一般概念和原理，提出評(píng)估的一般模型。 用于了解背景信息和參考。PP的指導(dǎo)性結(jié)構(gòu)。 用于了解背景信息，開發(fā)安全要求和形成TOE的安全規(guī)范的參考。 用于了解背景信息和參考。PP和ST的指導(dǎo)性結(jié)構(gòu)。 第2部分 安全功能要求，建立一系列功能組件作為表達(dá)TOE功能要求的標(biāo)準(zhǔn)方法。 在闡明安全功能要求的描述時(shí)作指導(dǎo)和參考。 用于解釋功能要求和生成TOE功能

29、規(guī)范的參考。 確定TOE符合聲明的安全功能時(shí)，作評(píng)估準(zhǔn)則的強(qiáng)制描述。 第3部分 安全保證要求，建立一系列保證組件作為表達(dá)TOE保證要求的標(biāo)準(zhǔn)方法。 用于指導(dǎo)保證需求級(jí)別的確定。 當(dāng)解釋保證要求描述和確定TOE的保證措施時(shí)，用作參考。 確定TOE的保證和評(píng)估PP和ST時(shí)，作為強(qiáng)制描述。 CNITSEC 劉作康46第46頁，共138頁。本標(biāo)準(zhǔn)定義作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則不包括屬于行政性管理安全措施的評(píng)估準(zhǔn)則不包括物理安全方面（諸如電磁輻射控制）的評(píng)估準(zhǔn)則不包括密碼算法固有質(zhì)量評(píng)價(jià)準(zhǔn)則應(yīng)用范圍CNITSEC 劉作康47第47頁，共138頁。關(guān)鍵概念評(píng)估對(duì)象 TOE(Target

30、of Evaluation)保護(hù)輪廓PP (Protection Profile）安全目標(biāo)ST( Security Target）功能(Function)保證(Assurance)組件(Component)包(Package)評(píng)估保證級(jí)EAL( Evaluation Assurance Level）CNITSEC 劉作康48第48頁，共138頁。評(píng)估對(duì)象（TOE）產(chǎn)品系統(tǒng)子系統(tǒng)CNITSEC 劉作康49第49頁，共138頁。保護(hù)輪 廓（PP）表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求組合安全功能要求和安全保證要求技術(shù)與需求之間的內(nèi)在完備性提高安全保護(hù)的針對(duì)性、有效性安全標(biāo)準(zhǔn)有助于以后的兼容性同TCSEC級(jí)類

31、似CNITSEC 劉作康50第50頁，共138頁。PP的內(nèi)容1 保護(hù)輪廓引言 11 PP標(biāo)識(shí) 12 PP概述 標(biāo)識(shí)PP，敘述性總結(jié)PP 2 TOE描述 TOE的背景信息 3 安全環(huán)境 31 假設(shè) 32 威脅 33 組織性安全策略 指明安全問題（要保護(hù)的資產(chǎn)、已知的攻擊方式、TOE必須使用的組織性安全策略） 4 安全目的 41 TOE安全目的 42 環(huán)境安全目的 對(duì)安全問題的相應(yīng)反應(yīng)（包括非技術(shù)性措施） 5 IT安全要求 51 TOE安全功能要求 52 TOE安全保證要求 53 IT環(huán)境安全要求 CC第二部分的功能組件 CC第三部分的保證組件 IT環(huán)境中軟件、硬件、固件要求 6 基本原理 61

32、安全目的基本原理 62 安全要求基本原理 目的和要求可以解決已指出的安全問題 7 應(yīng)用注解 附加信息 CNITSEC 劉作康51第51頁，共138頁。安全目標(biāo)（ST）IT安全目的和要求要求的具體實(shí)現(xiàn)實(shí)用方案適用于產(chǎn)品和系統(tǒng)與ITSEC ST 類似CNITSEC 劉作康52第52頁，共138頁。ST的內(nèi)容CNITSEC 劉作康53第53頁，共138頁。功能/保證結(jié)構(gòu)類（如用戶數(shù)據(jù)保護(hù)FDP）關(guān)注共同的安全焦點(diǎn)的一組族，覆蓋不同的安全目的范圍子類（如訪問控制FDP_ACC）共享安全目的的一組組件，側(cè)重點(diǎn)和嚴(yán)格性不同組件（如子集訪問控制FDP_ACC.1)包含在PP/ST/包中的最小可選安全要求集C

33、NITSEC 劉作康54第54頁，共138頁。組件CC將傳統(tǒng)的安全要求分成不能再分的構(gòu)件塊用戶/開發(fā)者可以組織這些要求到PP中到ST中組件可以進(jìn)一步細(xì)化CNITSEC 劉作康55第55頁，共138頁。舉例：類子類組件FIA 標(biāo)識(shí)和鑒別 FIA_AFL 鑒別失敗 FIA_ATD 用戶屬性定義 FIA_SOS 秘密的規(guī)范 類子類組件FIA_AFL.1鑒別失敗處理FIA_ATD.1用戶屬性定義FIA_SOS.1 秘密的驗(yàn)證FIA_SOS.2 秘密的TSF生成CNITSEC 劉作康56第56頁，共138頁。安全要求的結(jié)構(gòu)類（Class）子類（Family）子類（Family）組件組件組件組件功能和保證

34、PP/ST/包CNITSEC 劉作康57第57頁，共138頁。功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事CNITSEC 劉作康58第58頁，共138頁。安全功能要求類11類66個(gè)子類 135個(gè)組件CNITSEC 劉作康59第59頁，共138頁。保證對(duì)功能產(chǎn)生信心的方法CNITSEC 劉作康60第60頁，共138頁。安全保證要求APE類 - 保護(hù)輪廓PP的評(píng)估類ASE類 - 安全目標(biāo)ST的評(píng)估類用于TOE的七個(gè)安全保證要求類CNITSEC 劉作康61第61頁，共138頁。TOE安全保證類保證類 保證子類 縮寫名稱 CM自動(dòng)化 ACM_AUT CM 能力 ACM_CAP ACM 類：配置管理 CM

35、 范圍 ACM_SCP 分發(fā) ADO_DEL ADO類：交付和運(yùn)行 安裝、生成和啟動(dòng) ADO_IGS 功能規(guī)范 ADV_FSP 高層設(shè)計(jì) ADV_HLD 實(shí)現(xiàn)表示 ADV_IMP TSF內(nèi)部 ADV_INT 低層設(shè)計(jì) ADV_LLD 表示對(duì)應(yīng)性 ADV_RCR ADV類：開發(fā) 安全策略模型 ADV_SPM 管理員指南 AGD_ADM AGD類：指導(dǎo)性文件 用戶指南 AGD_USR 開發(fā)安全 ALC_DVS 缺陷糾正 ALC_FLR 生命周期定義 ALC_LCD ALC類： 生命周期支持 工具和技術(shù) ALC_TAT 覆蓋面 ATE_COV 深度 ATE_DPT 功能測(cè)試 ATE_FUN ATE類

36、：測(cè)試 獨(dú)立性測(cè)試 ATE_IND 隱蔽信道分析 AVA_CCA 誤用 AVA_MSU TOE安全功能強(qiáng)度 AVA_SOF AVA類：脆弱性評(píng)定 脆弱性分析 AVA_VLA CNITSEC 劉作康62第62頁，共138頁。包IT安全目的和要求功能或保證要求（如EAL）適用于產(chǎn)品和系統(tǒng)與ITSEC E-級(jí)類似CNITSEC 劉作康63第63頁，共138頁。評(píng)估保證級(jí)（EAL）預(yù)定義的保證包公認(rèn)的廣泛適用的一組保證要求CNITSEC 劉作康64第64頁，共138頁。CC 第一部分概念和模型第65頁，共138頁。安全概念和關(guān)系所有者威脅主體資產(chǎn)措施弱點(diǎn)風(fēng)險(xiǎn)威脅擁有引起到希望濫用最小化增加到利用導(dǎo)致減

37、少可能具有可能被減少利用可能意識(shí)到CNITSEC 劉作康66第66頁，共138頁。評(píng)估環(huán)境評(píng)估準(zhǔn)則評(píng)估方法最終評(píng)估結(jié)果評(píng)估方案評(píng)估批準(zhǔn)/ 證明證書/ 注冊(cè)CNITSEC 劉作康67第67頁，共138頁。TOE開發(fā)模型CNITSEC 劉作康68第68頁，共138頁。TOE評(píng)估過程 安全需求（PP、ST)開發(fā)TOETOE和評(píng)估評(píng)估結(jié)果 評(píng)估準(zhǔn)則評(píng)估方案評(píng)估方法操作TOE反饋評(píng)估TOECNITSEC 劉作康69第69頁，共138頁。TOE物理環(huán)境建立安全環(huán)境假設(shè)建立安全目的建立安全要求資產(chǎn)保護(hù)需求TOE目的威脅組織安全政策安全目的功能要求保證要求環(huán)境要求建立TOE概要規(guī)范TOE概要規(guī)范通用準(zhǔn)則要求目

38、錄安全規(guī)范材料(PP/ST)安全需求材料（PP/ST）安全目的材料(PP/ST)安全環(huán)境材料(PP/ST)安全要求或規(guī)范的產(chǎn)生方式CNITSEC 劉作康70第70頁，共138頁。CC 第二部分安全功能要求第71頁，共138頁。安全功能要求的表達(dá)形式類（Class）族（Family）族（Family）組件組件組件組件CNITSEC 劉作康72第72頁，共138頁。安全功能要求功能類名所含子類（族）數(shù)安全審計(jì)6通 信2密碼支持3識(shí)別和鑒別6用戶數(shù)據(jù)保護(hù)13隱 私4安全功能保護(hù)16資源利用3訪問控制3可信通道2安全管理6CNITSEC 劉作康73第73頁，共138頁。安全功能要求組件標(biāo)識(shí)FDP_IF

39、F.4.2F-功能要求,A-保證要求DP-保護(hù)用戶數(shù)據(jù)類IFF-信息流控制功能族4-第四個(gè)組件2-第二個(gè)元素CNITSEC 劉作康74第74頁，共138頁。FAU類:安全審計(jì)1、安全審計(jì)自動(dòng)響應(yīng)（FAU_ARP）2、安全審計(jì)數(shù)據(jù)產(chǎn)生（FAU_GEN）3、安全審計(jì)分析（FAU_SAA）4、安全審計(jì)查閱（FAU_SAR）5、安全審計(jì)事件選擇（FAU_SEL）6、安全審計(jì)數(shù)據(jù)存貯（FAU_STG）CNITSEC 劉作康75第75頁，共138頁。FCO類：通信1、原發(fā)抗抵賴（FCO_NRO）2、接收抗抵賴（FCO_NRR）CNITSEC 劉作康76第76頁，共138頁。FCS類：密碼支持1、密鑰管理（

40、FCS_CKM）2、密碼運(yùn)算（FCS_COP）CNITSEC 劉作康77第77頁，共138頁。FDP類：保護(hù)用戶數(shù)據(jù)1、訪問控制策略（FDP_ACC）2、訪問控制功能（FDP_ACF） 3、數(shù)據(jù)鑒別（FDP_DAU）4、輸出到TSF控制范圍之外（FDP_ETC）5、信息流控制策略（FDP_IFC）6、信息流控制功能（FDP_ICF）7、從TSF控制范圍之外輸入（FDP_ITC）8、TOE內(nèi)部傳輸（FDP_ITT）9、剩余信息保護(hù)（FDP_RIP） 10、反轉(zhuǎn)（FDP_ROL）11、存儲(chǔ)數(shù)據(jù)的完整性（FDP_SDI）12、TSF間用戶數(shù)據(jù)機(jī)密性的傳輸保護(hù)（FDP_UCT）13、TSF間用戶數(shù)據(jù)完

41、整性的傳輸保護(hù)（FDP_UIT）CNITSEC 劉作康78第78頁，共138頁。FIA類：標(biāo)識(shí)和鑒別1、鑒別失?。‵IA_AFL）2、用戶屬性定義（FIA_ATD）3、秘密的規(guī)范（FIA_SOS）4、用戶鑒別（FIA_UAU）5、用戶標(biāo)識(shí)（FIA_UID）6、用戶_主體綁定（FIA_USB）CNITSEC 劉作康79第79頁，共138頁。FMT類：安全管理1、TSF中功能的管理（FMT_MOF）2、安全屬性的管理（FMT_MSA）3、TSF數(shù)據(jù)的管理（FMT_MTD）4、撤消 （FMT_REV）5、安全屬性到期（FMT_SAE）6、安全管理角色（FMT_SMR）CNITSEC 劉作康80第80

42、頁，共138頁。FPR類：秘密1、匿名（FPR_ANO）2、假名（FPR_PSE） 3、非關(guān)聯(lián)性（FPR_UNL）4、無觀察性（FPR_UNO）CNITSEC 劉作康81第81頁，共138頁。FPT類：TOE安全功能（TSF）的保護(hù)1、根本的抽象機(jī)測(cè)試（FPT_AMT）2、保護(hù)失?。‵PT_FLS）3、TSF輸出數(shù)據(jù)的有效性（FPT_ITA）4、TSF輸出數(shù)據(jù)的機(jī)密性（FPT_ITC）5、輸出TSF數(shù)據(jù)的完整性（FPT_ITI）6、TOE內(nèi)TSF 數(shù)據(jù)交換（FPT_ITT）7、TSF物理保護(hù)（FPT_PHP）8、信任恢復(fù)（FPT_RCV）9、重復(fù)檢測(cè)（FPT_RPL）10、參考調(diào)解器（FPT_

43、RVM）11、域分離（FPT_SEP）12、狀態(tài)同步協(xié)議（FPT_SSP）13、時(shí)間標(biāo)志（FPT_STM）14、TSF內(nèi)部的TSF數(shù)據(jù)的一致性（FPT_TDC）15、內(nèi)部TOE TSF數(shù)據(jù)復(fù)制的一致性（FPT_TRC）16、TSF自測(cè)試（FPT_TST）CNITSEC 劉作康82第82頁，共138頁。FRU類：資源利用1、容錯(cuò)（FRU_FLT）2、服務(wù)優(yōu)先級(jí)（FRU_PRS）3、資源分配（FRU_RSA）CNITSEC 劉作康83第83頁，共138頁。FTA類：TOE訪問1、可選屬性范圍限定（FTA_LSA）2、多重并發(fā)會(huì)話限定（FTA_MCS）3、會(huì)話鎖定（FTA_SSL）4、TOE訪問方法

44、（FTA_TAB）5、TOE訪問歷史（FTA_TAH）6、TOE會(huì)話建立（FTA_TSE）CNITSEC 劉作康84第84頁，共138頁。FTP類：可信路徑/通道1、TSF間可信信道（FTP_ITC）2、可信路徑（FTP_TRP）CNITSEC 劉作康85第85頁，共138頁。安全功能要求應(yīng)用 用于構(gòu)成PP中IT安全要求的TOE安 全功能要求 用于構(gòu)成ST中IT安全要求的TOE安 全功能要求CNITSEC 劉作康86第86頁，共138頁。安全功能要求-1標(biāo)識(shí)和鑒別安全要求CC第二部分登錄控制用戶標(biāo)識(shí)FIA_UID.1-2用戶鑒別FIA_UNI.1-2重復(fù)登陸失敗限制FIA_AFL.1可信路徑F

45、IP_TRP訪問時(shí)間限制FIA_TSE.1口令字選擇控制用戶生成的口令字選擇FIA_SOS.1自動(dòng)生成口令字FIA_SOS.2口令自生命期限制FMT_SAF.1CNITSEC 劉作康87第87頁，共138頁。安全功能要求-2訪問控制CNITSEC 劉作康88第88頁，共138頁。安全功能要求-3安全審計(jì)CNITSEC 劉作康89第89頁，共138頁。安全功能要求-4完整性CNITSEC 劉作康90第90頁，共138頁。安全功能要求-5私密CNITSEC 劉作康91第91頁，共138頁。安全功能要求-6適用性CNITSEC 劉作康92第92頁，共138頁。安全功能要求-7數(shù)據(jù)交換CNITSEC

46、劉作康93第93頁，共138頁。CC 第三部分安全保證要求第94頁，共138頁。保證要求細(xì)分類CNITSEC 劉作康95第95頁，共138頁。評(píng)估保證級(jí)（EAL）EAL1功能測(cè)試EAL2結(jié)構(gòu)測(cè)試EAL3系統(tǒng)地測(cè)試和檢查EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查EAL5半形式化設(shè)計(jì)和測(cè)試EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試CNITSEC 劉作康96第96頁，共138頁。EAL1功能測(cè)試EAL1適用于安全的威脅并不嚴(yán)重的場(chǎng)合TOE的功能與其文檔在形式上是一致的，并且對(duì)已標(biāo)識(shí)的威脅提供了有效的保護(hù)。利用功能和接口的規(guī)范以及指導(dǎo)性文檔，對(duì)安全功能進(jìn)行分析，進(jìn)行獨(dú)立性測(cè)試保證組件： ACM

47、_CAP.1 版本號(hào)ADO_IGS.1 安裝、生成和啟動(dòng)程序ADV_FSP.1 非形式化功能規(guī)范ADV_RCR.1非形式化對(duì)應(yīng)性論證AGD_ADM.1 管理員指南AGD_USR.1用戶指南ATE_IND.1 一致性CNITSEC 劉作康97第97頁，共138頁。安全保證級(jí)別1(EAL1)CNITSEC 劉作康98第98頁，共138頁。EAL2結(jié)構(gòu)測(cè)試EAL2適用于在缺乏現(xiàn)成可用的完整的開發(fā)記錄時(shí)，開發(fā)者或使用者需要一種低到中等級(jí)別的獨(dú)立保證的安全性。 增加：ACM_CAP.2 配置項(xiàng)ADO_DEL.1 交付程序ADV_HLD.1 描述性高層設(shè)計(jì) *ATE_COV.1 范圍證據(jù)ATE_FUN.1

48、 功能測(cè)試ATE_IND.2 獨(dú)立性測(cè)試抽樣AVA_SOF.1 TOE安全功能強(qiáng)度評(píng)估*AVA_VLA.1開發(fā)者脆弱性分析*CNITSEC 劉作康99第99頁，共138頁。安全保證級(jí)別2(EAL2)CNITSEC 劉作康100第100頁，共138頁。EAL3系統(tǒng)地測(cè)試和檢查EAL3適用于開發(fā)者或使用者需要一個(gè)中等級(jí)別的安全性，和不需要再次進(jìn)行真正的工程實(shí)踐的情況下，對(duì)TOE及其開發(fā)過程進(jìn)行徹底檢查。增加組件：ACM_CAP.3 授權(quán)控制ACM_SCP.1 TOE 配置管理（CM）范圍ADV_HLD.2 安全加強(qiáng)的高層設(shè)計(jì)*ALC_DVS.1 安全措施標(biāo)識(shí)*ATE_COV.2 范圍分析ATE_D

49、PT.1 測(cè)試：高層設(shè)計(jì)AVA_MSU.1 指南審查CNITSEC 劉作康101第101頁，共138頁。安全保證級(jí)別3(EAL3)CNITSEC 劉作康102第102頁，共138頁。EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查EAL4適用于：開發(fā)者或使用者對(duì)傳統(tǒng)的商品化的TOE需要一個(gè)中等到高等級(jí)別的安全性，并準(zhǔn)備負(fù)擔(dān)額外的安全專用工程費(fèi)用。增加組件：ACM_AUT.1 部分配置管理（CM）自動(dòng)化ACM_CAP.4 產(chǎn)生支持和接受程序ACM_SCP.2 跟蹤配置管理（CM）范圍問題ADO_DEL.2 修改檢測(cè)ADV_FSP.2 完全定義的外部接口*ADV_IMP.1 TSF實(shí)現(xiàn)的子集*ADV_LLD.1 描

50、述性低層設(shè)計(jì)*ALC_LCD.1 開發(fā)者定義的生命周期模型ALC_TAT.1 明確定義的開發(fā)工具AVA_MSU.2 分析確認(rèn)AVA_VLA.2 獨(dú)立脆弱性分析*(穿透性測(cè)試）CNITSEC 劉作康103第103頁，共138頁。安全保證級(jí)別4(EAL4)CNITSEC 劉作康104第104頁，共138頁。EAL5半形式化設(shè)計(jì)和測(cè)試TOE安全策略的形式化模型，功能規(guī)范和高層設(shè)計(jì)的半形式化表示，及它們之間對(duì)應(yīng)性的半形式化論證。還需模塊化的TOE設(shè)計(jì)。這種分析也包括對(duì)開發(fā)者的隱蔽信道分析的確認(rèn) 增加組件：ACM_SCP.3 開發(fā)工具配置管理（CM）范圍ADV_FSP.3 半形式化功能規(guī)范*ADV_HL

51、D.3 半形式化高層設(shè)計(jì)*ADV_IMP.2 TSF實(shí)現(xiàn)ADV_INT.1 模塊化*ADV_RCR.2半形式化對(duì)應(yīng)性論證*ADV_SPM.3形式化TOE安全策略模型ALC_LCD.2 標(biāo)準(zhǔn)化生命周期模型*ALC_TAT.2 遵從實(shí)現(xiàn)標(biāo)準(zhǔn)ATE_DPT.2 測(cè)試：低層設(shè)計(jì)*AVA_CCA.1 隱蔽信道分析*AVA_VLA.3 中級(jí)抵抗力CNITSEC 劉作康105第105頁，共138頁。安全保證級(jí)別5(EAL5)CNITSEC 劉作康106第106頁，共138頁。EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試低層設(shè)計(jì)的半形式化表示 結(jié)構(gòu)化的開發(fā)流程 增加組件：ACM_AUT.2 完全配置管理（CM）自動(dòng)化AC

52、M_CAP.5 高級(jí)支持ADV_HLD.4 半形式化高層解釋ADV_IMP.3 TSF的結(jié)構(gòu)化實(shí)現(xiàn)ADV_INT.2 復(fù)雜性降低ADV_LLD.2半形式化低層設(shè)計(jì)ALC_DVS.2 安全措施的充分性ALC_TAT.3 遵從實(shí)現(xiàn)標(biāo)準(zhǔn)所有部分ATE_COV.3 范圍的嚴(yán)格分析ATE_FUN.2 順序的功能測(cè)試AVA_CCA.2系統(tǒng)化隱蔽信道分析AVA_MSU.3 對(duì)非安全狀態(tài)的分析和測(cè)試AVA_VLA.4 高級(jí)抵抗力CNITSEC 劉作康107第107頁，共138頁。安全保證級(jí)別6(EAL6)CNITSEC 劉作康108第108頁，共138頁。EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試EAL7的實(shí)際應(yīng)用目前只

53、局限于一些TOE，這些TOE非常關(guān)注能經(jīng)受廣泛地形式化分析的安全功能功能規(guī)范和高層設(shè)計(jì)的形式化表示增加組件：ADO_DEL.3 修改預(yù)防ADV_FSP.4 形式化功能規(guī)范ADV_HLD.5 形式化高層設(shè)計(jì)ADV_INT.3 復(fù)雜性最小化ADV_RCR.3 形式化對(duì)應(yīng)性論證ALC_LCD.3 可測(cè)量的生命周期模型ATE_DPT.3 測(cè)試：實(shí)現(xiàn)表示ATE_IND.3 獨(dú)立性測(cè)試全部CNITSEC 劉作康109第109頁，共138頁。安全保證級(jí)別7(EAL7)CNITSEC 劉作康110第110頁，共138頁。評(píng)估保證級(jí)（EAL）CNITSEC 劉作康111第111頁，共138頁。形式化有三種類型的

54、規(guī)范風(fēng)格：非形式化、半形式化和形式化。功能規(guī)范、高層設(shè)計(jì)、低層設(shè)計(jì)和TSP模型都將使用以上一種或多種規(guī)范風(fēng)格來書寫。非形式化規(guī)范就是象散文一樣用自然語言來書寫。 半形式化規(guī)范就是用一種受限制的句法語言來書寫，并且通常伴隨著支持性的解釋(非形式化)語句。這里的受限制句法語言可以是一種帶有受限制句子結(jié)構(gòu)和具有特殊意義的關(guān)鍵字的自然語言，也可以是圖表式的(如數(shù)據(jù)流圖、狀態(tài)轉(zhuǎn)換圖、實(shí)體關(guān)系圖、數(shù)據(jù)結(jié)構(gòu)圖、流程或程序結(jié)構(gòu)圖)。 形式化規(guī)范就是用一套基于明確定義的數(shù)學(xué)概念的符號(hào)來書寫，并且通常伴隨著支持性的解釋(非形式化)語句。 CNITSEC 劉作康112第112頁，共138頁。各部分關(guān)系子類C1C2C

55、3Cn功能(CC PART 2)保證 (CC PART 3)FamilyC1C2C3CnFamilyC1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn功能類保證類功能包為構(gòu)建PP或ST而選取的一組可重復(fù)使用的功能要求評(píng)估保證級(jí)1評(píng)估保證級(jí)2評(píng)估保證級(jí)3評(píng)估保證級(jí)n保護(hù)輪廓包括一個(gè)CC評(píng)估保證級(jí)的一組可重復(fù)使用且完備的安全要求。安全目標(biāo)包括一個(gè)CC評(píng)估保證級(jí)的描述TOE的一組完備要求?？砂ūＷo(hù)輪廓、要求和/或其他非CC要求。 選擇性擴(kuò)充（非CC）安全要求CNITSEC 劉作康113第113頁，共138頁。各個(gè)標(biāo)準(zhǔn)測(cè)評(píng)級(jí)別的對(duì)應(yīng)CC GB17859安全等級(jí) T C S

56、E C C T C P E C I T S E C D T-0 E0 EAL1 - T- 1 - EAL2 第一級(jí) C 1 T- 2 E 1 EAL3 T- 3 E 2 EAL4 第二級(jí) 第三級(jí) C 2 B 1 T- 4 E 3 EAL5 第四級(jí) B 2 T- 5 E 4 EAL6 第五級(jí) B 3 T- 6 E 5 EAL7 A 1 T- 7 E 6 CNITSEC 劉作康114第114頁，共138頁。5. PP/ST產(chǎn)生指南CNITSEC 劉作康115第115頁，共138頁。為既定的一系列安全對(duì)象提出功能和保證要求的完備集合可復(fù)用集合 - 對(duì)各種應(yīng)用的抽象希望和要求的陳述PP定義CNITSE

57、C 劉作康116第116頁，共138頁。什么是PP？用戶要求陳述用戶希望達(dá)到什么程度主要針對(duì): 業(yè)務(wù)/商業(yè)擁有者對(duì)用戶、開發(fā)者、評(píng)估者和審計(jì)者都有用系統(tǒng)設(shè)計(jì)文檔將幾級(jí)要求細(xì)化成特定的需求一致性需求符合用戶的要求CNITSEC 劉作康117第117頁，共138頁。誰用PP？PP是用戶要求的根本陳述理想的“使用”團(tuán)體應(yīng)當(dāng)擁有PP并驅(qū)動(dòng)PP的開發(fā)從開發(fā)者、評(píng)估者、審計(jì)者和校準(zhǔn)者那里得到輸入用戶理解任務(wù)/商業(yè)并能陳述希望怎樣的評(píng)估對(duì)象（TOE）不希望怎樣的TOE其他賣主難于陳述產(chǎn)品不做什么安全技術(shù)專家常常不能完全理解用戶要求CNITSEC 劉作康118第118頁，共138頁。PP要點(diǎn)CNITSEC 劉

58、作康119第119頁，共138頁。范圍：PP的適用范圍引用標(biāo)準(zhǔn)：與TOE實(shí)現(xiàn)相關(guān)的其他信息技術(shù)標(biāo)準(zhǔn)術(shù)語定義和記法約定：一些便于理解PP的術(shù)語和PP中相關(guān)記法的約定TOE描述：TOE的一般信息TOE類型一般TOE功能TOE界限TOE操作環(huán)境有關(guān)TOE的主要假設(shè) PP要點(diǎn)（續(xù)）CNITSEC 劉作康120第120頁，共138頁。TOE安全環(huán)境：定義TOE “安全需求”的特征和范圍假設(shè)：如果環(huán)境滿足該假定，TOE被認(rèn)為是安全的威脅：包括TOE及其環(huán)境需要保護(hù)的特定資產(chǎn)所面臨的與TOE安全操作相關(guān)的威脅組織安全策略：TOE必須遵守的任何組織安全策略和規(guī)則PP要點(diǎn)（續(xù)）CNITSEC 劉作康121第12

59、1頁，共138頁。有關(guān)環(huán)境的假設(shè)對(duì)資產(chǎn)的威脅組織安全策略安全需求定義TOE安全環(huán)境CNITSEC 劉作康122第122頁，共138頁。環(huán)境安全目的TOE安全目的安全目的：意在對(duì)抗確定的威脅，滿足確定的組織安全策略和假定的陳述PP要點(diǎn)（續(xù)）在確定安全目的時(shí)，需要確保每個(gè)已知的威脅，至少有一個(gè)安全目的對(duì)抗；每個(gè)已知的組織安全策略，至少有一個(gè)安全目的來滿足。在對(duì)抗威脅方面主要有預(yù)防、檢測(cè)和糾正三種目的。CNITSEC 劉作康123第123頁，共138頁。威脅組織安全策略假設(shè)安全需求TOEIT環(huán)境非IT安全要求TOE 目的環(huán)境目的安全目的IT安全要求安全目的橋梁作用CNITSEC 劉作康124第124頁，共138頁。IT安全要求TOE安全要求IT環(huán)境安全要求TOE安全功能要求TOE安全保證要求PP要點(diǎn)（續(xù)）CNITSEC 劉作康125第125頁，共138頁。安全功能要求安全保證要求IT環(huán)境安全要求TOE 安全目的IT環(huán)境安全目的ISO/IEC 15408第二部分ISO/IEC 15408第三部分IT安全要求賦值、反復(fù)、選擇和細(xì)化CNITSEC 劉作康126第126頁，共138頁。PP要點(diǎn)（續(xù)）PP應(yīng)用注解：對(duì)開發(fā)、評(píng)估或使用TOE